Ik herinner het me nog als de dag van gisteren: onze CEO wilde dat ik naar zijn kantoor kwam en vroeg me om mijn smartphone en laptop op mijn bureau te laten liggen.
“We zijn gehackt,” zei hij onomwonden. “Het onderzoek is nog gaande, maar we kunnen bevestigen dat we een actieve, zeer geavanceerde, landelijk gesponsorde aanvaller in ons midden hebben.”
Om eerlijk te zijn was dit niet totaal onverwacht. Onze specialisten waren al geruime tijd bezig met het werken aan de veiligheidslekken van onze cliënten, en als een beveiligingsbedrijf waren wij een specifiek doelwit. Ja, het was een vervelende verrassing: iemand had de cyberverdediging van een informatiebeveiligingsbedrijf gepenetreerd. U kunt er hier meer over lezen. Vandaag wil ik het over een van de sleutelvragen hebben die onmiddellijk bij ons opkwamen: “Hoe communiceren we dit?”
Vijf fases van ermee leren leven: ontkenning, woede, onderhandelen, depressie en acceptatie
Destijds had elke organisatie, nog voordat de AVG van kracht was, de keuze om als er zich een incident had voorgedaan dit publiekelijk te communiceren of zelfs te ontkennen. Dat laatste was geen optie voor Kaspersky Lab, een transparant cybersecurity-bedrijf dat verantwoordelijke bekendmaking promoot. We hadden overeenstemming bereikt in de C-suite en begonnen ons voor te bereiden op de publieke bekendmaking. Volle kracht vooruit.
Het was ook de juiste beslissing, zeker omdat we de groeiende geopolitieke kloof aanschouwden en duidelijk zagen dat de sterke krachten achter de cyberaanval dit lek ongetwijfeld tegen ons zouden gebruiken — de enige onbekende elementen waren hoe en wanneer. Door het lek proactief te communiceren, ontnamen we ze niet alleen deze kans, maar gebruikten we dit geval ook in ons voordeel.
Men zegt dat er twee soorten organisaties zijn: zij die gehackt zijn en zij die niet eens weten dat ze gehackt zijn. In deze wereld is het paradigma simpel: een bedrijf mag een lek niet verzwijgen. Het enige schandelijke is het verzwijgen van het lek voor het publiek en daardoor de cybersecurity van klanten en partners in gevaar brengen.
Terug naar ons geval. Zodra we de betrokken partijen hadden vastgesteld — juridische en informatiebeveiligingsteams versus communicatie, sales, marketing en technische ondersteuning — begonnen we met de vervelende taak van het voorbereiden van officiële berichten en vragen en antwoorden. We deden dat tegelijkertijd met het lopende onderzoek van het Kaspersky’s GReAT (Global Research and Analysis Team); betrokken teamleden voerden alle communicatie uit via versleutelde kanalen om de mogelijkheid uit te sluiten dat het onderzoek in gevaar kwam. Pas toen we de meeste antwoorden op de mogelijke vragen voorbereid hadden, voelden we ons klaar om dit openbaar te maken.
Als gevolg publiceerden verschillende mediakanalen bijna 2.000 stukken gebaseerd op een nieuwsbericht dat we zelf geïnitieerd hadden. De meeste (95%) waren neutraal, en we zagen een opmerkelijk laag aantal negatieve berichten (minder dan 3%). De balans van de verslaggeving is begrijpelijk; de media hadden het verhaal van ons gehoord, onze partners en andere beveiligingsonderzoekers werkten allemaal met de juiste informatie. Ik heb de exacte cijfers niet, maar door de manier waarop de media reageerden op het verhaal van een ransomware-aanval op de Noorse aluminiumgigant Hydro eerder dit jaar, lijkt de afhandeling van die nieuwsverhalen niet optimaal. De moraal van het verhaal is: houd nooit lijken in de kast.
Les geleerd — en doorgegeven
Het goede nieuws is dat we van de cyberaanval in 2015 niet alleen geleerd hebben over de technische capaciteiten van de meest geavanceerde partijen ter wereld qua cyberdreiging, maar ook hoe we op zo’n lek moeten reageren en erover moeten communiceren.
We hadden tijd om de aanval grondig te onderzoeken en ervan te leren. We hadden tijd om door de fases van woede en onderhandelen te gaan — ik bedoel, het bedrijf voor te bereiden op wat we tegen het publiek zouden zeggen. En gedurende de hele tijd was er sprake van communicatie tussen de cybersecurity-mensen en experts in bedrijfscommunicatie.
Tegenwoordig is het tijdsbestek waarin je je kan voorbereiden op een publieke aankondiging drastisch ingekort: de AVG vereist bijvoorbeeld dat bedrijven die met klantengegevens werken niet alleen de autoriteiten moete informeren over veiligheidslekken, maar dat dit ook binnen 72 uur dient te gebeuren. En het bedrijf dat een cyberaanval ondergaat, moet voorbereid zijn om publiek te gaan vanaf het moment dat ze de autoriteiten erover informeren.
“Met wie moeten we dit communiceren binnen het bedrijf? Welke kanalen kunnen we gebruiken, en welke moeten we juist vermijden? Hoe moeten we reageren?” Deze en vele andere vragen moesten we tijdens het lopende onderzoek beantwoorden. U hebt wellicht niet de luxe om deze vragen zelf te beantwoorden in de korte tijd die u tot uw beschikking hebt. Maar deze informatie en onze waardevolle ervaring vormen het fundament van de Kaspersky Incident Communications Service.
Behalve de standaardtraining van gecertificeerde communicatiespecialisten die een strategie bedenken en over de externe berichtgeving adviseren, biedt deze dienst kansen om van onze GReAT-experts te leren. Zij hebben up-to-date informatie over communicatie-tools en -protocollen, en kunnen u adviseren over hoe u zich dient te gedragen in het geval van een lek.